4

Python サーバーと Android クライアント アプリケーションの間で双方向の SSL 認証を機能させようとしています。サーバーとクライアントの両方にアクセスでき、独自の証明書を使用してクライアント認証を実装したいと考えています。これまでのところ、サーバー証明書を確認し、クライアント認証なしで接続できました。

クライアントが必要とする証明書の種類と、ハンドシェイク プロセス中に証明書をサーバーに自動的に送信するにはどうすればよいですか? これが、これまでに作成したクライアント側とサーバー側のコードです。私のアプローチは間違っていますか?

サーバーコード

while True: # Keep listening for clients
    c, fromaddr = sock.accept()

    ssl_sock = ssl.wrap_socket(c,
            keyfile = "serverPrivateKey.pem",
            certfile = "servercert.pem",
            server_side = True,
            # Require the client to provide a certificate
            cert_reqs = ssl.CERT_REQUIRED,
            ssl_version = ssl.PROTOCOL_TLSv1,
            ca_certs = "clientcert.pem", #TODO must point to a file of CA certificates??
            do_handshake_on_connect = True,
            ciphers="!NULL:!EXPORT:AES256-SHA")

    print ssl_sock.cipher()
    thrd = sock_thread(ssl_sock)
    thrd.daemon = True
    thrd.start()

ca_certs に間違ったファイルを使用している可能性があります...?

クライアントコード

    private boolean connect() {
    try {
        KeyStore keystore = KeyStore.getInstance("BKS"); // Stores the client certificate, to be sent to server
        KeyStore truststore = KeyStore.getInstance("BKS"); // Stores the server certificate we want to trust
        // TODO: change hard coded password... THIS IS REAL BAD MKAY
        truststore.load(mSocketService.getResources().openRawResource(R.raw.truststore), "test".toCharArray());
        keystore.load(mSocketService.getResources().openRawResource(R.raw.keystore), "test".toCharArray());

        // Use the key manager for client authentication. Keys in the key manager will be sent to the host
        KeyManagerFactory keyFManager = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        keyFManager.init(keystore, "test".toCharArray());

        // Use the trust manager to determine if the host I am connecting to is a trusted host
        TrustManagerFactory trustMFactory = TrustManagerFactory.getInstance(TrustManagerFactory
                .getDefaultAlgorithm());
        trustMFactory.init(truststore);

        // Create the socket factory and add both the trust manager and key manager
        SSLCertificateSocketFactory socketFactory = (SSLCertificateSocketFactory) SSLCertificateSocketFactory
                .getDefault(5000, new SSLSessionCache(mSocketService));
        socketFactory.setTrustManagers(trustMFactory.getTrustManagers());
        socketFactory.setKeyManagers(keyFManager.getKeyManagers());

        // Open SSL socket directly to host, host name verification is NOT performed here due to
        // SSLCertificateFactory implementation
        mSSLSocket = (SSLSocket) socketFactory.createSocket(mHostname, mPort);
        mSSLSocket.setSoTimeout(TIMEOUT);

        // Most SSLSocketFactory implementations do not verify the server's identity, allowing man-in-the-middle
        // attacks. This implementation (SSLCertificateSocketFactory) does check the server's certificate hostname,
        // but only for createSocket variants that specify a hostname. When using methods that use InetAddress or
        // which return an unconnected socket, you MUST verify the server's identity yourself to ensure a secure
        // connection.
        verifyHostname();
        // Safe to proceed with socket now
...

openssl を使用して、クライアント秘密鍵、クライアント証明書、サーバー秘密鍵、およびサーバー証明書を生成しました。次に、クライアント証明書を に追加しましたkeystore.bks(これを に保存し/res/raw/keystore.bksます)。次に、サーバー証明書をtruststore.bks

したがって、クライアントが接続しようとすると、サーバー側で次のエラーが発生します。

ssl.SSLError: [Errno 1] _ssl.c:504: error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate

そして、Androidクライアントでこれをやろうとすると

SSLSession s = mSSLSocket.getSession();
s.getPeerCertificates();

次のエラーが表示されます。

javax.net.ssl.SSLPeerUnverifiedException: No peer certificate

したがって、明らかに、私が使用しているキーストアには正しいピア証明書が含まれていないようであり、サーバーに証明書を送信していません。

この例外を防ぐには、キーストアに何を入れる必要がありますか?

さらに、この双方向 SSL 認証の方法は安全で効果的ですか?

4

2 に答える 2